MiniDuke : Virus Cyber Espionage, Kini Mengancam Dunia
Backdoor kemudian akan memindai Twitter untuk pre-set akun palsu dengan postingan palsu, dengan pesan yang dienkripsi. Jika Twitter tidak bekerja atau akun tersebut telah dihapus, virus memiliki cadangan rencana untuk menggunakan Google Search untuk mencari string terenkripsi. Malware kemudian mendekripsi string karakter dan menghubungkan ke server command-and-control untuk men-download lagi backdoor tersembunyi dalam file GIF. Pada saat itu MiniDuke menghubungkan diri ke salah satu dari dua server di Panama dan Turki di mana akan mendownload backdoor akhir yang benar-benar melakukan serangan cyberespionage. Para peneliti belum mengetahui secara pasti apa yang terjadi pada tahap keempat dan terakhir dari serangan tersebut yang diinginkan dari komputer yang ditargetkan, tetapi peneliti keamanan senior Kaspersky Labs berspekulasi bahwa cara kerja virus tersebut dapat melakukan banyak hal seperti Red October, yang dirancang untuk memanen berbagai macam file. Semua langkah-langkah dan serangkaian backdoors ditempatkan di tempat yang asing untuk menutupi identitas sumber asli serangan. Itulah sebabnya pada saat ini, tidak ada yang benar-benar tahu siapa di belakang MiniDuke.
Hal yang paling tidak biasa dari serangan ini menurut Kaspersky Labs karena Hacker menggunakan teknik dari tahun 1990-an yang mengingatkan banyak orang terhadap kelompok terkenal dan misterius yang disebut hacker 29A. Kelompok ini memulai kegiatannya di pertengahan 90-an, coding dan membuat virus terutama untuk bersenang-senang dan kemudian mendokumentasikan eksploitasi mereka. Lebih aneh, kode MiniDuke mengandung referensi ke Divine Comedy Dante, dan juga menyembunyikan sebuah petunjuk, angka 666, yang diterjemahkan ke heksadesimal “0×29A” Lebih lanjut menurut Kaspersky Labs, apa yang terjadi pada saat ini kemungkinan adalah kembalinya para hacker hardcore assembler seperti kelompok 29A, namun tidak mudah untuk mengetahui apakah mereka adalah sama. Baik Kaspersky maupun peneliti CrySyS berspekulasi bahwa Hacker yang bermain saat ini adalah ancaman baru yang belum pernah diketahui sebelumnya. Bisa saja adalah Hacker China karena terdapat indikasi bahwa mereka terlibat dalam beberapa serangan belakangan ini.
Para hacker yang canggih ini melakukan semua aksinya tanpa meninggalkan jejak asal mereka, dan sulit untuk mengetahui siapa mereka bahkan dari target mereka berikutnya. Menurut Kaspersky Labs, orang di belakang serangan ini memiliki dendam pada seluruh dunia. Beberapa target mereka adalah agen pemerintah dan kedutaan besar di Belgia, Portugal, Irlandia, Republik Ceko dan Rumania. Di Amerika Serikat, sebuah lembaga penelitian dan penyedia layanan kesehatan terbesar menjadi target dari aksi Hacker ini. Untuk mencegah serangan virus ini, khususnya bagi para teknisi kantor-kantor pemerintah, Kaspersky Labs memberikan beberapa tips, antara lain :
Untuk membaca lebih lanjut mengenai cara kerja virus ini dapat di lihat pada CrySys Blog, sedangkan untuk mengetahui analisa lengkap serta cara penanggulangan virus ini, anda dapat mendownload dokumen PDF dari Kaspersky Labs, The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0×29A Micro Backdoor.PDF
Setelah
dikejutkan dengan pemberiaan adanya dugaan serangan ‘Hacker’ terhadap 250.000
akun twitter, seperti diberikan
twitter melalui blognya, kali ini publik kembali dikejutkan dengan adanya
serangan Cyber Espionage terhadap
pemerintah dan lembaga diplomatik di seluruh dunia.
Belum
juga sebulan setelah pemberitaan adanya serangan keamanan dalam skala besar
yang ditujukan pada teknologi pemerintah AS dan perusahaan media, seperti yang
diberitakan oleh New York Times pada tanggal 30 januari 2013, bahwa sistem
mereka telah disusupi oleh Hacker China selama empat bulan terakhir terkait
laporan mereka yang menulis tentang kekayaan perdana menteri Wen Jiabao yang
mencapai multi-miliar dollar.
Kali ini
berbagai media memberikan tentang adanya serangan Cyber Espionage dengan target pemerintahan dan lembaga diplomatik
di seluruh dunia telah di temukan oleh dua perusahaan keamanan online, Kaspersky Labs dan Crysys Lab. Serangan ini dianggap sangat tidak biasa, karena Hacker
menggunakan cara dan teknik lama pada saat yang sama mengambil keuntungan
dengan mengeksploitasi Adobe Reader
dan akun Twitter untuk menyebarkan Malware.
Seperti
yang diberitakan, mashable, 27 Februari 2013, Virus yang diberi kode MiniDuke
ini telah menginfeksi setidaknya 59 sasaran di 23 negara yang berbeda. Jumlah
korban ini adalah perkiraan sementara sejak serangan berlangsung.
Menurut laporan Kaspersky Labs. Para penelitinya mencatat bahwa serangan tersebut tidak biasa dan sangat kompleks, dan pelaku belum diketahui sampai saat ini. “mereka yang menciptakan backdoor ini adalah profesional dan bukan APT1 hacker Cina” kata Costin Raiu, peneliti keamanan senior Kaspersky Labs, mengacu pada kegiatan hacker Cina beberapa waktu lalu. Siapa pun Hacker tersebut, mereka menggunakan, multi-stage serangan yang kompleks untuk menyebarkan MiniDuke. Pertama mereka akan mengirim email yang berisi lampiran yang terlihat seperti PDF biasa yaitu berisi tentang seminar hak asasi manusia, atau rencana Ukraina untuk menjadi anggota NATO. Untuk setiap serangan, para hacker merancang PDF yang sedikit berbeda, namun target akan sulit membedakan dengan dokumen PDF yang asli. Setelah korban membuka PDF, sebuah instruksi khusus akan menginstal backdoor pada komputer.
Menurut laporan Kaspersky Labs. Para penelitinya mencatat bahwa serangan tersebut tidak biasa dan sangat kompleks, dan pelaku belum diketahui sampai saat ini. “mereka yang menciptakan backdoor ini adalah profesional dan bukan APT1 hacker Cina” kata Costin Raiu, peneliti keamanan senior Kaspersky Labs, mengacu pada kegiatan hacker Cina beberapa waktu lalu. Siapa pun Hacker tersebut, mereka menggunakan, multi-stage serangan yang kompleks untuk menyebarkan MiniDuke. Pertama mereka akan mengirim email yang berisi lampiran yang terlihat seperti PDF biasa yaitu berisi tentang seminar hak asasi manusia, atau rencana Ukraina untuk menjadi anggota NATO. Untuk setiap serangan, para hacker merancang PDF yang sedikit berbeda, namun target akan sulit membedakan dengan dokumen PDF yang asli. Setelah korban membuka PDF, sebuah instruksi khusus akan menginstal backdoor pada komputer.
Backdoor kemudian akan memindai Twitter untuk pre-set akun palsu dengan postingan palsu, dengan pesan yang dienkripsi. Jika Twitter tidak bekerja atau akun tersebut telah dihapus, virus memiliki cadangan rencana untuk menggunakan Google Search untuk mencari string terenkripsi. Malware kemudian mendekripsi string karakter dan menghubungkan ke server command-and-control untuk men-download lagi backdoor tersembunyi dalam file GIF. Pada saat itu MiniDuke menghubungkan diri ke salah satu dari dua server di Panama dan Turki di mana akan mendownload backdoor akhir yang benar-benar melakukan serangan cyberespionage. Para peneliti belum mengetahui secara pasti apa yang terjadi pada tahap keempat dan terakhir dari serangan tersebut yang diinginkan dari komputer yang ditargetkan, tetapi peneliti keamanan senior Kaspersky Labs berspekulasi bahwa cara kerja virus tersebut dapat melakukan banyak hal seperti Red October, yang dirancang untuk memanen berbagai macam file. Semua langkah-langkah dan serangkaian backdoors ditempatkan di tempat yang asing untuk menutupi identitas sumber asli serangan. Itulah sebabnya pada saat ini, tidak ada yang benar-benar tahu siapa di belakang MiniDuke.
Hal yang paling tidak biasa dari serangan ini menurut Kaspersky Labs karena Hacker menggunakan teknik dari tahun 1990-an yang mengingatkan banyak orang terhadap kelompok terkenal dan misterius yang disebut hacker 29A. Kelompok ini memulai kegiatannya di pertengahan 90-an, coding dan membuat virus terutama untuk bersenang-senang dan kemudian mendokumentasikan eksploitasi mereka. Lebih aneh, kode MiniDuke mengandung referensi ke Divine Comedy Dante, dan juga menyembunyikan sebuah petunjuk, angka 666, yang diterjemahkan ke heksadesimal “0×29A” Lebih lanjut menurut Kaspersky Labs, apa yang terjadi pada saat ini kemungkinan adalah kembalinya para hacker hardcore assembler seperti kelompok 29A, namun tidak mudah untuk mengetahui apakah mereka adalah sama. Baik Kaspersky maupun peneliti CrySyS berspekulasi bahwa Hacker yang bermain saat ini adalah ancaman baru yang belum pernah diketahui sebelumnya. Bisa saja adalah Hacker China karena terdapat indikasi bahwa mereka terlibat dalam beberapa serangan belakangan ini.
Para hacker yang canggih ini melakukan semua aksinya tanpa meninggalkan jejak asal mereka, dan sulit untuk mengetahui siapa mereka bahkan dari target mereka berikutnya. Menurut Kaspersky Labs, orang di belakang serangan ini memiliki dendam pada seluruh dunia. Beberapa target mereka adalah agen pemerintah dan kedutaan besar di Belgia, Portugal, Irlandia, Republik Ceko dan Rumania. Di Amerika Serikat, sebuah lembaga penelitian dan penyedia layanan kesehatan terbesar menjadi target dari aksi Hacker ini. Untuk mencegah serangan virus ini, khususnya bagi para teknisi kantor-kantor pemerintah, Kaspersky Labs memberikan beberapa tips, antara lain :
- Block traffic dari beberapa domain : arabooks.ch, artas.org, tsoftonline.com, eamtm.com, dan news.grouptumbler.com
- Block traffic dari IP: 200.63.46.23, 194.38.160.153, 95.128.72.24, 72.34.47.186, 188.40.99.143, 85.95.236.114
Untuk membaca lebih lanjut mengenai cara kerja virus ini dapat di lihat pada CrySys Blog, sedangkan untuk mengetahui analisa lengkap serta cara penanggulangan virus ini, anda dapat mendownload dokumen PDF dari Kaspersky Labs, The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0×29A Micro Backdoor.PDF